PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SuSefirewall2... und die Probleme gehen weiter...



Fortu
14.01.2003, 22:43
Guten Tag,

ich bin, was Netzwerke angeht, sehr sehr unerfahren.
Um zumindest innerhalb vom Netzwerk die Routingaufgaben erledigen zu können, habe ich die SuseFirewall 2 (Suse8.0 Distribution) geladen und verwende diese recht erfolgreich...
... bis ich emule nutzen wollte.

Dort erhalte ich ständig "Low ID" blablabla...

Wenn ich nun auf der Seite von edonky den Test auf Port 4661 ausführe, dann steht da ständig error/resest on ip "InternetIP".

Jetzt hat mir jemand was von Forwarding erzählt... aber ich habe keine Ahnung.

Wie gehe ich da am besten vor? Tut mir leid, ich habe wirklich zu googlen versucht aber die Vorschläge dort klappen alle net :(

*seufztief*

Fortu

devilz
14.01.2003, 23:52
es ist spät und ich wollte schon längst im bett sein fortu *g*

suche mal im forum nach ipforward ... da sind schon einige posts drinne ... wenn du nicht zurecht kommst, kann ich dir morgen nochmal helfen :))))

gn8

Fortu
15.01.2003, 00:03
Danke! Aber ich hab nun auf Freshmeat eine verdammt gute Firewall gefunden ... und da geht es! :) SO UND NUN ZU BETT *g*

devilz
15.01.2003, 10:50
prima :)

tomvomland
15.01.2003, 11:22
Hi Fortu

Original geschrieben von Fortu
Danke! Aber ich hab nun auf Freshmeat eine verdammt gute Firewall gefunden ... und da geht es! :) SO UND NUN ZU BETT *g*

Ich bin mit der SuSE FW2 auch nicht klar gekommen,
zumal die einfach alle Ports offen lässt, wenn man nur die "richtigen" Inkonsistenzen in das Config-File einbaut. Auch das Forwarding aus dem internen Netz klappte nur manchmal.
Welche FW nimmst Du denn jetzt?

Ich hab' gute Erfahrungen damit gemacht:http://www.harry.homelinux.org/

cu
tom

danielgoehl
15.01.2003, 13:34
Nabend,

was wird denn hier von SuSE Firewall 2 gefaselt!!
Tut mir leid, aber in ein solches ding stecke ich mein Vertrauen nicht!!
Alles was die SF2 macht ist, sie bietet ein Front End zur Konfiguration der iptables. Dabei muss sie aber kompromisse eingehen damit nicht erfahrene User diese Konfigurieren können. Dadurch ensteht ein falsches Gefühl der Sicherheit!!
Eine schlecht Konfigurierte Firewall ist wie keine Firewall.

Die iptables sind wahrhaftig nicht schwer zu bedienen und die Doku ist spitze!! einfach mal bei Netfilter (http://netfilter.samba.org) vorbei!!

Und für deinen Esel musst du "nur" ein portmapping betreiben, dies geschieht einfach durch:

iptables -t nat -A POSTROUTING -p tcp --dport 4661 -j DNAT: <adresse deines Eselrechners>

MfG

Daniel

Fortu
15.01.2003, 13:45
Ist ja alles schön und gut und ich glaub dir das auch, dass das so einfach ist. Den gleichen Befehl habe ich auch eingegeben und er lief net - er läuft jetzt, nachdem ich die SF2 entfernt habe. Dolle *gg*

Ich verwende eine von Freshmeat, den Namen sag ich heut mittag - bin sehr in Eile. Aber danke für den Tipp, die werd ich mir auch angucken!

Bei der einen, die ich hab, ist noch so ein Traffic Shaper dabei, ganz lustig. Ist natürlich alles vorgekaut, aber um Beispiele zu sammeln taugt es allemal! :)

Grüße

Fortu

devilz
15.01.2003, 13:50
Original geschrieben von danielgoehl
Nabend,

was wird denn hier von SuSE Firewall 2 gefaselt!!
Tut mir leid, aber in ein solches ding stecke ich mein Vertrauen nicht!!
Alles was die SF2 macht ist, sie bietet ein Front End zur Konfiguration der iptables. Dabei muss sie aber kompromisse eingehen damit nicht erfahrene User diese Konfigurieren können. Dadurch ensteht ein falsches Gefühl der Sicherheit!!
Eine schlecht Konfigurierte Firewall ist wie keine Firewall.

Die iptables sind wahrhaftig nicht schwer zu bedienen und die Doku ist spitze!! einfach mal bei Netfilter (http://netfilter.samba.org) vorbei!!

Und für deinen Esel musst du "nur" ein portmapping betreiben, dies geschieht einfach durch:

iptables -t nat -A POSTROUTING -p tcp --dport 4661 -j DNAT: <adresse deines Eselrechners>

MfG

Daniel


Sagen wir es so, sicher ist es keine Profi-Lösung, aber für den kleinen Einsteiger ist sie schonmal ne Hilfe. (SuSE bietet ja für Firmen die Firewall-on-CD an !)
Und wer dann mehr will, der kann sich mit iptables sein eigenes Script bauen :))))

danielgoehl
15.01.2003, 14:02
Hallo nochmal,

ich wollt das ja nurmal in den Raum werfen.
Ich denke aber immernoch das durch die SuSE FW einem unerfahrenen User die Sicherheit vorgegaukelt wird, sicher das ding ist schon besser als ne Windows Box direkt ans Netz zu hängen, aber es geht noch ein wenig besser.

Zu Fortu, der Befehl klappte wahrscheinlich dehalb nicht da die SuSE FW vernünftigerweise die Policies der drei Hauptchains (INPUT, OUTPUT, FORWARD) auf "Drop" setzt. Das heißt soviel wie "Nimm das Packet ja nich an und sag nicht das du es nicht annimmst". Du müsstest also das Packet was du in der POSTROUTING Chain weiterleitest auch in der FORWARD Chain erlauben mit etwas wie:

iptables -A FORWARD -p tcp --dport 4661 -j ACCEPT

Schreib gleich mal den namen der FW die du benutzt, ich gucke mir das gerne mal an!!

Gruß

devilz
15.01.2003, 16:10
Original geschrieben von danielgoehl
Hallo nochmal,

ich wollt das ja nurmal in den Raum werfen.
Ich denke aber immernoch das durch die SuSE FW einem unerfahrenen User die Sicherheit vorgegaukelt wird, sicher das ding ist schon besser als ne Windows Box direkt ans Netz zu hängen, aber es geht noch ein wenig besser.


Genau das meinte ich ja !

Stell dir mal vor die User wüßten von einer Firewall Funktion gar nix ...
Insofern ist es auch noch ein gutes Verkaufsargument wenn da inkl. Firewall draufsteht :)))

g_eXx
15.01.2003, 16:52
Na mit der SuSE firewall ist meiner Meinung nach wirklich nicht viel anzufangen. Theoretisch schon aber in der Praxis fällt es mir leichter nur mit iptables zu arbeiten.
:D

injooh
15.01.2003, 17:16
Die SuSE-FW hab ich mit als Erstes wieder runter geschmissen, also ich benutze zum konfigurieren von iptables dieses Teil hier: http://www.simonzone.com/software/guarddog/
und das geht tadellos.

miret
15.01.2003, 18:49
Sooooo!
Nach dem ich mir das als Normal-User hier mal reingezogen habe, wüsste ich von den Herren doch mal gerne, was um Himmels Willen denn nun sooooo schlecht ist, an der SuSE Firewall2???
Das interessiert mich nämlich, weil ich die nutze! Hab mir die Konf gerade noch mal angeschaut und finde, das man da kaum was falsches einstellen kann. Wo ist der Haken?
Bei diversen Security Online-Tools und Scannern hat mein Normal-User-Maschine jedenfalls bestens abgeschnitten. Alles nur Schwindel?
Mag sein, das es feinere Tools gibt und ich hab mir gerade mal Guarddog angeschaut, erkenne aber nicht wirklich gravierende Unterschiede (bin ich eventuell auch nicht in der Lage zu!).
Oder galt das alles nur für router, dann hab ich was nicht richtig verstanden.
Das Thema interessiert mich allerdings und für Verbesserungen auch für so einen wie mich, bin ich dankbar! :baby:

Fortu
15.01.2003, 19:21
Guten Tag..

wegen der Drop-Geschichte: Klar, du hast recht - ich hatte nur gelernt, dass die Regeln von oben nach unten abgearbeitet werden. Oder gilt das nur für das Laden vom Script an sich?

Ach ja, übrigens, das Ding heißt: arno iptables firewall... war auf freshmeat drauf (*beton*)

Ich möchte aber lernen, eigene Scripts zu bauen sobald ich etwas mehr Zeit hab! :)

injooh
15.01.2003, 19:36
@miret,

ich hatte mit SuSE-FW2 die "empfohlenen" Standardeinstellungen gemacht, also ohne
Serverdienste, da ich hier nur eine Workstation mit direkten Internetzugang (ISDN) habe.
Dann habe ich einen guten Bekannten meine IP per Telefon durchgegeben und er hat meinen Rechner gescannt, hier das Ergebnis:

--------------------------------------------------

Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting ports on pD9.......dip0.t-ipconnect.de (217.1.16....):
(The 1594 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
111/tcp open sunrpc
295/tcp filtered unknown
369/tcp filtered rpc2portmap
515/tcp open printer
952/tcp filtered unknown
6000/tcp open X11

---------------------------------------------------

Wie Du siehst sind da einige Ports geöffnet, die nicht offen sein müssen.
Deshalb habe ich die iptables lieber mit "Guarddog" gemacht, klar ich hätte das auch
"von Hand", oder mit einem Script-Generator machen können, ein GUI ist aber lieber,
aber das ist nur Geschmacksache.

Den Portscan haben wir dann noch mal wiederholt, da waren die Ports, die Oben offen angezeigt werden geschlossen.

danielgoehl
15.01.2003, 23:37
Also meine bedenken scheinen sich ja zu bestätigen wie man hier lesen kann!! (injoohs Beitrag)

Ich beziehe meine Äußerungen hier auch eher auf Router, aber Workstations sollten genau so abgesichert werden!

Ich mein ist die Sicherheit nicht eins der Hauptargumente das jemand Linux benutzt??
Ich kenne die ganzen Konfigurationstools für die iptables nicht, werde sie mir nei zeiten jedoch mal gerne ansehen.

Nochmal kurz zu fortu:
Du hast recht die Regeln die in den verschiedenen tables drinstehen werden von oben nach unten abgearbeitet. D.h. wenn eine Regel packt wird das Packet sofort aus der jeweiligen tables rausgeschmissen!! Es gibt jedoch für jede table eine Policie, das ist die Aktion die durchgeführt werden soll falls keine Regel packt! Zudem kommt es auch drauf an wie du eine regel addest. Wenn du den Parameter -A (append) benutzt so schreibst du ans ende einer tables mit -I (insert) jedoch an den anfang einer table. Dadurch kann bei unvorsichtiger benutzung viel Ärger entstehen.
Du siehst aber in welcher Reihenfolge die Regeln angeordnet sind wenn du eingibst

iptables -L

So das wars für heute, bis die Tage

mfg

Daniel

Fortu
15.01.2003, 23:41
Danke für den Hinweis! Werde es mir merken. Tja, das Rootboard hat einmal mehr geholfen :)

Grüße

Fortu

miret
26.01.2003, 15:17
Dann verstehe ich nicht, wieso ich bei verschiedenen Online-Scannern ständig ohne offene Ports und im Stealth-Mode gescannt werde!?!
Da es sich um verschiedenste Scanner und mit verschiedener Ausrichtung gehandelt hat, muß die FW2 doch bei mir dicht halten.
Oder sehe ich das falsch? Oder zu naiv?
Kann ja auch nicht sein, das die mir was vorgaukeln, denn es sind erstens nicht nur Scanner von Firmen mit kommerziellem Interesse (das wäre ja nicht gerade verkaufsfördernd, mir einen geschlossenen PC zu bescheinigen!), sondern auch welche von Security-Pages. Nirgends wurfde mein PC als "offen" gekennzeichnet!
War da bei dir vielleicht doch was nicht richtig eingestellt??(
Wenn ich mit w2k mal surfen, was selten genug vorkommt, wird bei mir z.B. immer NetBIOS als offen angezeigt und nicht alles im Stealth! Und das trotz FW!
Ich wäre für weitere Antworten dankbar!

devilz
26.01.2003, 15:27
Original geschrieben von miret
Dann verstehe ich nicht, wieso ich bei verschiedenen Online-Scannern ständig ohne offene Ports und im Stealth-Mode gescannt werde!?!
Da es sich um verschiedenste Scanner und mit verschiedener Ausrichtung gehandelt hat, muß die FW2 doch bei mir dicht halten.
Oder sehe ich das falsch? Oder zu naiv?
Kann ja auch nicht sein, das die mir was vorgaukeln, denn es sind erstens nicht nur Scanner von Firmen mit kommerziellem Interesse (das wäre ja nicht gerade verkaufsfördernd, mir einen geschlossenen PC zu bescheinigen!), sondern auch welche von Security-Pages. Nirgends wurfde mein PC als "offen" gekennzeichnet!
War da bei dir vielleicht doch was nicht richtig eingestellt??(
Wenn ich mit w2k mal surfen, was selten genug vorkommt, wird bei mir z.B. immer NetBIOS als offen angezeigt und nicht alles im Stealth! Und das trotz FW!
Ich wäre für weitere Antworten dankbar!


Nunja das Problem welche hier einige anzweifeln ist, das die SuSE FW nur die Stanardports abdeckt !
D.H. wenn du bestimmte Server laufen lässt, bringt die FW nix !
Also mußt du die dann umständlich anpassen und das missfällt hier so einigen.
Für den normalen User ist die FW "ausreichend" und wer mehr will, der kann ja die SuSE FW abschalten und sich ein eigenes Script bauen !
Das ist Linux, wem was nicht passt, der kann es selber "besser" machen !

miret
26.01.2003, 15:55
Das langt mir allerdings! Standart! :D

nee, im Ernst, ich brauche weder ssh noch sonstige Dienste. Hab also alles dicht!
Ist das nicht aber das Problem ein jeder Firewall, das wenn man Dienste hat, dementsprechend natürlich "offene" Ports nutzt, diese sicher zu bekommen! Ob da die genannten Beispiele auch volständig ausreichen?
Aber wie gesagt, für mich reicht's mit der FW2! ;)

danielgoehl
26.01.2003, 21:19
Im Sicherheitsbereich ist bekannt das eine Firewall nur der ertse Schritt zur sicherung eines Computers ist. Die Sicherheit hängt von vielen Faktoren ab, wie zB OS und dann noch wie aktuell die installierten packages sind.
ZB hätte es am Wochenende nicht üassieren dürfte das der SQL Wurm so ein großen ärger gemacht hat, da MS schon im Sommer 2002 den Bug offengelegt hat und ihn als "gefährlich" eingestuft hat. Aber trotzdem haben die Admins nichts an der Situation getan und keine Patches installiert!!

Eine firewall soll ja nicht nur vor angriffen von "aussen" schützen. Eine gut durchdachte fw hilft auch gegen viele Trojaner die informationen an ihren schaffer senden wollen. Ok, die könnte auch über den Port 80 laufen. Ich denke jedoch das viele Cracker nnicht soweit denken. ;)
Die SuSE FW2 mag ein wenig sicherheit geben, aber nicht ausreichend viel!

Gruß Daniel

miret
27.01.2003, 18:55
Das ist selbstverständlich klar! Eine FW alleine ist nicht der Weisheit letzter Schluß.
Ist klar, das es in erster Linie auf jeden selber ankommt und man sich in punkto Sicherheit im Netz so verhält, wie man es auch in anderen, nicht digitalen Bereichen tun würde.
Leider habe viele dieses Verständnis nicht. Wenn ich mir alleine schon die Passwörter einiger Bekannter von mir ansehe und ihre Gesichter, als ich sie gefragt habe, ob sie ihre Scheckkarten auch für jeden offen legen oder immer die Schlüssel in der Wohnungstür stecken lassen.
!;)
Da aber heute jeder möglichst schnell einen dicken Computer zu Hause haben muß um damit ins "Internet" zu gehen, und dabei gerade mal weiß, wo das Teil eingeschaltet wird........... "Man" ist ja anonym!:] Blos nicht zuviel lernen und schon gar nicht lesen! das dauert ja ewig!

Aber ich glaube, jetzt bin ich etwas vom eigentlichen Thema abgekommen!:rolleyes: :P

stargate
27.01.2003, 19:23
Habe eine ganz Interessante WebSeite gefunden

http://www.robidu.de/linux/adsl/

miret
31.05.2003, 11:50
So! bei mir hat sich seit einiger Zeit einiges verändert.
Hab da jetzt mal aus Spass meine eigene IP mit nmap gescannt und folgende Ausgabe bekommen:



Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host dialin-145-254-092-098.arcor-ip.net (145.254.92.98) appears to be up ... good.
Initiating Connect() Scan against dialin-145-254-092-098.arcor-ip.net (145.254.92.98)
Adding open port 6000/tcp
Adding open port 22/tcp
Adding open port 111/tcp
Adding open port 631/tcp
The Connect() Scan took 0 seconds to scan 1601 ports.
Interesting ports on dialin-145-254-092-098.arcor-ip.net (145.254.92.98):
(The 1597 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
111/tcp open sunrpc
631/tcp open ipp
6000/tcp open X11

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

Könnte das vielleicht mal einer, der etwas Ahnung hat, mal kommentieren? Vor allen in Bezug auf die Open Ports! Gut, ssh muß ja offen sein, wenn man es nutzt. Aber was ist mit den anderen (mir fast nur unbekannten) services?